Không có gì đảm bảo rằng hacker sẽ trả lại dữ liệu sau khi bạn đưa tiền chuộc cho chúng. Thường thì máy chủ, cơ sở dữ liệu, máy ảo và môi trường đám mây đều sẽ bị ảnh hưởng.

Có nhiều cách khác nhau để ransomware có thể xâm nhập vào máy tính. Đa số chúng sẽ khai thác một lỗ hổng bảo mật hoặc lừa nạn nhân cài đặt phần mềm chứa mã độc. Một trong những cách phổ biến nhất là thông qua thư spam lừa đảo – sử dụng email có tệp đính kèm trông rất đáng tin, nhưng thực chất là chứa mã độc trong đó.

Sau khi tải xuống và mở tệp, ransomware sẽ tấn công và chiếm quyền điều hành máy tính. Thậm chí có những cuộc tấn công từ việc khai thác lỗ hổng bảo mật không cần nạn nhân phải tương tác với tệp chứa mã độc.

Ransomware thường nhắm vào các tổ chức công ty, doanh nghiệp và chính phủ. Theo ước tính có khoảng 45% các cuộc tấn công nhắm vào các tổ chức chăm sóc sức khỏe. 90% các tổ chức tài chính dường như đã trở thành mục tiêu cho một cuộc tấn công ransomware vào năm 2017.

Ransomware nhắm vào các cá nhân và doanh nghiệp ở mọi quy mô. Theo ước tính, trong năm 2021 cứ sau 11 giây sẽ có một doanh nghiệp bị ransomware nhắm vào tấn công. Con số này không bao gồm các cá nhân, dù cá nhân mới là miếng mồi ngon và dễ ”bắt” nhất, cũng là thành phần bị nhắm đến nhiều nhất. Tổng thiệt hại dự kiến lên tới 20 tỷ USD vào năm tới.

Các doanh nghiệp cần phải thích ứng khi các xu hướng kỹ thuật số và các mối đe dọa thay đổi. Phần mềm độc hại như ransomware là một viễn cảnh đáng sợ đối với bất kỳ ai. Có thể phải thực hiện các bước chuyển đổi kỹ thuật số để đảm bảo bạn được bảo vệ tốt đa.

Rất may là có nhiều cách để cải thiện các hoạt động và có các phần mềm để chống lại mã độc tống tiền. Dưới đây là một số bước bạn có thể thực hiện để đảm bảo dữ liệu của mình được bảo vệ an toàn nhất.

1. Sử dụng tường lửa và phần mềm chống vi-rút đáng tin cậy

Không có phần mềm chống virus nào là hoàn hảo, nhưng hầu hết các phần mềm đáng tin đều có thể giúp bạn ngăn chặn các cuộc tấn công và khiến tin tặc phải nản chí trong quá trình hack. Một số phần mềm chống vi-rút còn có thêm tính năng bảo vệ trước những cuộc tấn công bằng ransomware.

Bạn nên sử dụng bộ lọc email để ngăn chặn thư rác và thư lừa đảo. Một vài phần mềm chống virus còn tích hợp khả năng chặn truy cập vào những webite chứa mã độc. Phải đảm bảo hệ thống của bạn được bảo vệ bằng cách cập nhật phần mềm thường xuyên và quá trình quét dữ liệu được bật thường xuyên.

Có rất nhiều phần mềm chống virus giả mạo, vì vậy điều quan trọng là phải sử dụng phần mềm của các công ty có uy tín.

2. Luôn cập nhật tất cả các hệ điều hành

Nhiều cuộc tấn công trong quá khứ rất nghiêm trọng vì mọi người không cập nhật hệ thống của mình. Một báo cáo cho thấy có khoảng hàng trăm nghìn máy tính ở hơn 150 quốc gia hiện nay đã lỗi thời.

Các bản cập nhật mang đến cho bạn các bản vá lỗi bảo mật mới nhất. Hacker luôn tìm cách khai thác các lỗ hổng trong các ứng dụng và hệ điều hành chưa được vá, do đó cập nhật các bản vá và sửa lỗi cho hệ điều hành là rất cần thiết. Bạn sẽ có ít lỗ hổng hơn để hacker lợi dụng, giảm khả năng bị tấn công.

3. Cảnh giác trước khi nhấp vào bất cứ thứ gì trên mạng

Khi điều hành một tổ chức hoặc doanh nghiệp, sẽ có lúc bạn cần phải thuê nhân viên bên ngoài để phát triển doanh nghiệp. Đây cũng là mục tiêu của ransomware, liên quan đến việc thao túng hoặc lừa dối ai đó để giành quyền kiểm soát hệ thống máy tính.

Tin tặc có thể sử dụng điện thoại, email hoặc liên hệ trực tiếp để truy cập bất hợp pháp. Trên thực tế, việc đào tạo nhân viên về cách nhận biết và bảo vệ trước các cuộc tấn công mạng thường bị bỏ qua mặc dù nó có thể là chìa khóa quan trọng nhất trong việc chống lại ransomware.

Hãy thực hiện chương trình đào tạo cho nhân viên của mình để xác định các cuộc gọi và email đáng ngờ. Luôn cập nhật chương trình đào tạo để họ biết cần phải chú ý những gì. Có thể sử dụng các chương trình mô phỏng lừa đảo để tối đa hóa hiệu quả của việc đào tạo.

Ngoài ra một số thủ thuật đơn giản và hiệu quả có thể hữu ích, ví dụ yêu cầu nhân viên di chuột lên các link trong email trước chứ không nhấp vào ngay lập tức. Sau đó có thể kiểm tra xem URL đích có khớp với trang web đích mong đợi hay không. Hacker thường nói rằng chúng đến từ bộ phận IT, sau đó chúng lừa nạn nhân tải xuống phần mềm độc hại hoặc để lộ dữ liệu. Hãy liên hệ với bộ phận IT nếu nhận được các cuộc gọi hoặc email đáng ngờ.

4. Khuyến khích nhân viên thảo luận cởi mở về an ninh mạng

Hợp tác với nhau là cách tốt nhất để hoàn thành mọi việc. Khi các nhân viên của bạn đang làm việc cùng nhau, mọi thứ sẽ hoạt động trơn tru hơn. Điều này cũng có thể giúp ngăn chặn tấn công mạng.

Chia sẻ thông tin và thảo luận về các email hoặc cuộc gọi đáng ngờ sẽ giúp mọi người chuẩn bị sẵn sàng với chúng, giúp nhân viên hiểu được nguy cơ và thoải mái đưa ra ý kiến. Tăng cường hợp tác có thể làm giảm khả năng nhân viên cài đặt các tệp đáng ngờ mà không kiểm tra.

5. Mã hóa mọi thứ

Mã hóa càng nhiều thứ càng tốt sẽ giúp tạo thêm một lớp bảo vệ khác. Điều này sẽ giúp bạn ít bị thiệt hại hơn trước các cuộc tấn công.

Sử dụng VPN có thể giúp ẩn IP và vị trí thực của bạn khỏi tin tặc bằng cách mã hóa lưu lượng truy cập. Nếu nhân viên của bạn đang truy cập Wi-Fi công cộng, hãy yêu cầu họ sử dụng VPN.

6. Quét virus đối với email

Hãy sử dụng chức năng quét và lọc nội dung trên các máy chủ email của bạn. Google cho biết phải chặn hơn 100 triệu email lừa đảo trên máy chủ của họ mỗi ngày. Trên thực tế, 91% các cuộc tấn công mạng bắt đầu bằng email lừa đảo, do đó các email đến phải được quét bằng phần mềm chống virus để tìm các mối đe dọa tiềm tàng.

Bất kỳ loại tệp đính kèm nào có thể gây đe dọa phải bị chặn ngay lập tức. Ngoài ra còn có các plug-in của trình duyệt ngăn chặn việc tự động tải xuống nội dung độc hại. Như đã đề cập, nhân viên trong doanh nghiệp nên được đào tạo để nhận biết những thứ trông có vẻ đáng ngờ.

Hãy đào tạo cho nhân viên biết cách kiểm tra xem địa chỉ gửi email có khớp với tên của người gửi hay không, sau đó xem tên miền của công ty có chính xác hay không. Cài đặt ứng dụng email của bạn hiển thị địa chỉ email của người gửi chứ không chỉ tên của họ.

7. Bảo vệ đường dây nóng

Các cuộc tấn công trước đây cho thấy chúng cũng có thể được thực hiện qua điện thoại chứ không chỉ email. Thực tế hình thức tấn công VoIP đang ngày càng gia tăng khiến các hệ thống điện thoại dễ bị tấn công hơn.

Hãy sử dụng hệ thống điện thoại tự động để quản lý cuộc gọi, bao gồm cả những cuộc gọi nguy hiểm tiềm tàng. Hệ thống nhận dạng người gọi có thể xác thực các số điện thoại thông qua chứng nhận và sẽ cảnh báo nếu có dấu hiệu lừa đảo.

8. Bảo vệ các tập tin khi chia sẻ chúng

Hãy bảo vệ thông tin và quyền riêng tư của bạn khi chia sẻ tài liệu với những người bên ngoài tổ chức doanh nghiệp. Đặt mật khẩu bảo vệ tài liệu để chỉ có những người được chọn mới có quyền truy cập vào chúng.

9. Kiểm tra trang web thường xuyên

Phần mềm độc hại có thể ảnh hưởng đến thời gian tải trang web, làm chậm tải trang. Không phải lúc nào tin tặc cũng thông báo sự xâm nhập của chúng ngay lập tức, đôi lúc chúng chỉ âm thầm thu thập thông tin. Tin tặc có thể chuyển hướng các tệp từ một máy chủ khác để tải cùng với trang của bạn. Phương thức độc hại bí mật này có thể ngốn tài nguyên máy chủ của bạn.

Nếu trang web của bạn tải chậm thì hãy lưu ý đến lý do này, khi đó bạn sẽ phải can thiệp, bảo vệ các tệp của mình trước khi hacker phá hoại chúng.

10. Thường xuyên sao lưu dữ liệu

Ngay cả các biện pháp tốt nhất và các hệ thống an toàn nhất cũng không thể đảm bảo khả năng bảo vệ 100%. Thật đáng tiếc nhưng đó là sự thật: bạn có thể giảm thiểu rủi ro của mình một cách đáng kể, nhưng vẫn có khả năng bị nhắm mục tiêu.

Nếu chẳng may bạn trở thành con mồi của ransomware thì phải đảm bảo rằng mình kiểm soát được tình hình bằng cách sao lưu dữ liệu thường xuyên. Phải đảm bảo luôn có bản sao lưu tất cả thông tin của mình để có thể khôi phục mọi tệp bị tấn công.

Không nên nhượng bộ trước yêu cầu của ransomware. Khôi phục các tệp từ bản sao lưu là cách tốt nhất để lấy lại quyền truy cập vào dữ liệu, ngoài ra còn có các tùy chọn để khôi phục mà không phải nhượng bộ. Một số giải pháp ​​có thể giúp ích nếu đã bị ransomware tấn công. Nhưng đừng chủ quan, hãy đảm bảo bạn và doanh nghiệp của bạn luôn sẵn sàng ứng phó với hacker.

Bảo vệ dữ liệu của doanh nghiệp sẽ giúp bảo vệ nhân viên và thông tin trước các cuộc tấn công. Ngoài ra bạn cũng buộc phải làm như vậy để gia tăng trải nghiệm dịch vụ khách hàng, vì khách hàng luôn muốn được an toàn với các công ty mà họ lựa chọn.

Đừng quên theo dõi BlogAnChoi để cập nhật tin tức mới nhất nhé!

Mời bạn xem thêm các tin về công nghệ:

• Sự khác biệt giữa Cryptojacking và Ransomware
• 5 cách để bảo mật tài khoản email của bạn tránh khỏi hacker tấn công
• Microsoft sẽ ngừng hỗ trợ Windows 10 vào năm 2025

An ninh trên không gian mạng là thách thức ngày càng lớn, không chỉ do các mối đe dọa ngày càng tăng lên về mức độ phức tạp và tần suất xảy ra, mà các phương pháp bảo vệ cũng ngày càng được chuyên biệt hóa tập trung vào các đối tượng cụ thể.

Đối với người dùng Internet, việc hiểu rõ các biện pháp bảo mật khác nhau mà mỗi công cụ cung cấp là rất quan trọng nhưng cũng không dễ dàng. Và một câu hỏi khác cũng khiến nhiều người băn khoăn: liệu có cần phải sử dụng tất cả chúng hay không?

Hai trong số các công cụ bảo mật phổ biến nhất và cũng dễ bị nhầm lẫn nhiều nhất hiện nay là tường lửa (firewall) và phần mềm chống virus (antivirus). Chúng thường được nhắc đến cùng nhau, nhưng không có nghĩa là chúng giống nhau. Vậy sự khác biệt giữa tường lửa và antivirus là gì?

Phần mềm antivirus là gì?

Đây là các phần mềm có nhiệm vụ quét các file của máy tính để tìm virus. Mặc dù thường được gọi là “antivirus” nhưng thực ra hầu hết trong số chúng là “antimalware”, tức phần mềm chống phần mềm độc hại, vì bản thân virus cũng là một loại phần mềm độc hại.

Dù hoạt động online hay offline thì antivirus cũng có nhiệm vụ phát hiện và “bắt giữ” tất cả các loại phần mềm độc hại như virus, Trojan, worm, adware (phần mềm quảng cáo) và spyware (phần mềm gián điệp) trước khi chúng tấn công thiết bị của bạn. Bạn có thể tìm hiểu thêm về các loại phần mềm độc hại khác nhau trong bài viết: Malware, Trojan, virus và worm là gì? Những khái niệm thường gặp mà không phải ai cũng hiểu rõ!

Mỗi khi tin tặc trên không gian mạng tìm cách lẻn vào thiết bị và lấy cắp thông tin của người dùng, phần mềm chống virus sẽ đóng vai trò cực kỳ quan trọng. Chúng chủ yếu hoạt động ở chế độ chạy nền, giúp bạn được an toàn khi duyệt web và tải xuống các file từ bên ngoài.

Nhưng làm thế nào antivirus nhận biết được những file chứa phần mềm độc hại?

Antivirus hoạt động như thế nào?

Hầu hết các phần mềm diệt virus thương mại hiện nay không được hỗ trợ trí tuệ nhân tạo, do đó chúng không thể tự “bắt” các phần mềm độc hại mà cần phải được hướng dẫn từ trước – trong hầu hết các trường hợp là nhờ nhà sản xuất.

Phần mềm antivirus hoạt động bằng cách quét các file, đoạn mã và tập lệnh xâm nhập vào thiết bị của bạn. Quy trình này diễn ra giống nhau cho dù dữ liệu được tải xuống từ web hay thông qua một bộ lưu trữ bên ngoài như USB hay CD.

Trong quá trình quét, antivirus sẽ so sánh nội dung của từng file với cơ sở dữ liệu phong phú về các loại phần mềm độc hại mà nó đã “học” trước đó. Đây là lý do tại sao phần mềm antivirus của bạn luôn phải chạy nền, liên tục quét thiết bị để tìm ra phần mềm độc hại ẩn ở dạng không hoạt động.

Thoạt nhìn thì có vẻ công việc này chỉ cần làm một lần và antivirus chỉ cần quét các file mới đến thay vì toàn bộ ổ cứng, nhưng trên thực tế không có “vệ sĩ” nào hiệu quả 100% cả. Nhà cung cấp phần mềm antivirus phải liên tục cập nhật cơ sở dữ liệu của mình, bổ sung các loại virus và mã độc mới nhất để bắt kịp xu hướng.

Khi phần mềm antivirus liên tục quét các file của bạn, nó không chỉ gây tiêu hao tài nguyên phần cứng mà còn phải kiểm tra kỹ hoạt động của mình và đảm bảo không bỏ sót bất kỳ loại virus ẩn nào chưa được phát hiện trước đó.

Máy tính của bạn có thể an toàn mà không cần antivirus không?

Mặc dù phần mềm antivirus có mức độ bảo mật cao, nhưng chúng cũng có những nhược điểm như ảnh hưởng đến quyền riêng tư và hầu hết trong số chúng được cho là làm tiêu hao năng lượng của CPU.

Cách duy nhất để giữ an toàn cho máy tính mà không dùng antivirus là tập thói quen dùng Internet lành mạnh: chỉ truy cập các trang web an toàn và chỉ download các file từ những nguồn đáng tin cậy. Bạn cũng nên tránh sử dụng các mạng mở, đặc biệt là khi không có phần mềm VPN đảm bảo an toàn.

Tường lửa là gì?

Đúng như tên gọi của nó, tường lửa là hàng rào bảo vệ ngăn cách giữa thiết bị của bạn và thế giới bên ngoài, bao gồm cả mạng Internet.

Không giống như phần mềm antivirus, tường lửa không vô hiệu hóa các phần mềm độc hại đã lẻn vào được thiết bị, và cũng không quét các file của bạn. Nó chỉ là người bảo vệ giám sát luồng dữ liệu mạng và kiểm tra độ an toàn trước khi dữ liệu tiếp cận với thiết bị của bạn mà thôi.

Có hai loại tường lửa: phần mềm và phần cứng. Tường lửa phần mềm có chức năng bảo vệ bạn khỏi các cuộc tấn công dạng kỹ thuật số, còn phiên bản phần cứng ngăn người khác truy cập vào thiết bị của bạn theo cách vật lý – ví dụ như cắm USB trong khi thiết bị của bạn không hoạt động.

Tương tự như phần mềm antivirus, tường lửa cũng hoạt động ở chế độ chạy nền. Tuy nhiên chúng cũng cho phép bạn thay đổi một số quy tắc để “mở cửa” cho nguồn dữ liệu nào được vào và ra thông qua mạng Internet.

Tường lửa hoạt động như thế nào?

Hiểu đơn giản thì tường lửa là một hệ thống “lọc”, giống như máy dò kim loại mà bạn phải đi qua ở sân bay, nhưng đối tượng cần quét thì khác. Khi nói đến cách thức hoạt động thì tường lửa ít nhiều cũng tương tự như phần mềm chống virus.

Trong lúc dữ liệu mạng được truyền vào thiết bị của bạn, tường lửa sẽ quét nó theo từng phần nhỏ và so sánh với cơ sở dữ liệu về các mối đe dọa đã được xác nhận. Đoạn dữ liệu chỉ được phép vào máy tính nếu vượt qua được tất cả các lần kiểm tra.

Tường lửa cũng cần cập nhật thường xuyên. Nếu cơ sở dữ liệu của chúng không được bổ sung các mối đe dọa mới nhất thì phần mềm độc hại có thể xâm nhập vào thiết bị của bạn. Đến lúc đó, hy vọng duy nhất của bạn là phần mềm antivirus có thể phát hiện ra nó trước khi quá muộn.

Có nhiều cách để firewall có thể quét và kiểm tra luồng dữ liệu mạng khi người dùng duyệt web. Các phương thức này có độ bảo mật và hiệu quả khác nhau, nhưng đều có ưu điểm riêng:

• Dịch vụ proxy: Loại tường lửa này bảo vệ thiết bị của bạn bằng cách thiết lập một phiên bản “sinh đôi” của thiết bị và kết nối nó với web. Dữ liệu mới đến sẽ không tiếp xúc trực tiếp với thiết bị của bạn mà sẽ bị cô lập. Đây là một trong những loại tường lửa an toàn nhất, nhưng nó chạy rất chậm và ngốn nhiều tài nguyên.

• Lọc theo gói: Các tường lửa sử dụng phương pháp này sẽ quét dữ liệu theo từng gói nhỏ. Mỗi gói dữ liệu được đưa qua một loạt các bộ lọc. Các gói dữ liệu được xác định là mối đe dọa sẽ bị đánh dấu và chặn lại, ngăn chúng truy cập vào thiết bị của bạn.
• Cổng cấp độ mạch: Thay vì tự quét dữ liệu, tường lửa cổng cấp độ mạch sẽ giám sát bộ giao thức điều khiển truyền dẫn (Transmission Control Protocol – TCP). Thay vì quét nội dung của các gói dữ liệu đến, tường lửa loại này đảm bảo quá trình giao tiếp diễn ra an toàn và hợp lệ bằng cách xác minh nguồn gốc chứ không phải bản thân dữ liệu. Mặc dù có ưu điểm là nhanh chóng và hiệu quả nhưng loại tường lửa này cần có thêm một công cụ bảo mật khác để ngăn bỏ sót.

Máy tính có thể an toàn khi không dùng tường lửa không?

Tường lửa là một biện pháp bảo vệ hữu hiệu, nếu không dùng chúng thì bạn cần một biện pháp thay thế khác, có thể là cẩn thận hơn khi lướt web. Nếu không có tường lửa, các gói dữ liệu độc hại có thể xâm nhập được vào thiết bị nếu bạn sơ suất bất cứ lúc nào.

Tuy nhiên đối với tường lửa dạng phần mềm, nếu thiết bị của bạn không kết nối với Internet thì có thể không cần dùng chúng cũng được.

Có cần phải dùng cả phần mềm antivirus và tường lửa không?

Antivirus và tường lửa không thể hoán đổi cho nhau được. Mỗi “vệ sĩ” hoạt động độc lập trong việc bảo mật thiết bị của bạn theo những cách khác nhau, và trong một số trường hợp là hỗ trợ lẫn nhau. Nếu bạn muốn có sự bảo mật ở mức tối đa thì nên sử dụng cả hai và thường xuyên cập nhật để chúng luôn ở trạng thái tốt nhất nhé.

Trên đây là những điều cơ bản mà bất kỳ người dùng máy tính nào cũng cần biết về tường lửa và antivirus – những công cụ bảo vệ cực kỳ hữu ích giúp bạn tránh xa các phần mềm độc hại và hacker nguy hiểm. Bạn có đang sử dụng cả hai “vệ sĩ” này cho máy tính của mình không? Hãy để lại ý kiến dưới phần bình luận nhé!

Mời bạn xem thêm những bài viết liên quan của BlogAnChoi:

• Malware, Trojan, virus và worm là gì? Những khái niệm thường gặp mà không phải ai cũng hiểu rõ!
• Ransomware là gì? Đối phó với ransomware ra sao để giảm thiểu thiệt hại?

Hãy đón xem BlogAnChoi mỗi ngày để nhận được nhiều thông tin thú vị cho cuộc sống bạn nhé!

Ransomware đang đe dọa không gian mạng đến mức độ nào?

Trong những năm gần đây, ngày càng có nhiều trường hợp tấn công mạng bằng ransomware trình độ cao gây thiệt hại lớn cho người dùng Internet và các cơ quan, tổ chức trên khắp thế giới.

Các cuộc tấn công gần đây nhắm vào công ty đóng gói thịt lớn nhất thế giới JBS và dịch vụ y tế quốc gia của Ireland đã báo động cho chúng ta về cách thức mà các băng nhóm tin tặc ransomware có thể phá vỡ nền kinh tế và khiến cuộc sống của mọi người bị đảo lộn đến mức nào.

Theo thống kê của công ty an ninh mạng Emsisoft, chỉ tính riêng trong năm 2020 ở Mỹ, các băng đảng ransomware đã tấn công hơn 100 cơ quan liên bang, tiểu bang và thành phố, hơn 500 trung tâm chăm sóc sức khỏe, 1680 cơ sở giáo dục và hàng nghìn doanh nghiệp. Thiệt hại kinh tế lên tới hàng chục tỷ USD. Tuy nhiên con số chính xác có thể còn cao hơn do nhiều nạn nhân không muốn báo cáo, sợ ảnh hưởng đến danh tiếng.

Ở châu Âu, các cuộc tấn công ransomware nhắm vào nhiều mục tiêu đa dạng như hãng game CD Projekt của Ba Lan hay các trường học ở Tunbridge Wells (Anh).

Nhưng chính các vụ tấn công gây rối Đường ống Colonial ở Mỹ và công ty chế biến thịt JBS của Brazil vào tháng 5/2021 mới là tâm điểm thu hút sự chú ý của các nhà lãnh đạo thế giới, cùng với đó là sự tăng cường giám sát đối với các “thiên đường” trú ẩn an toàn ở nước ngoài, nơi tội phạm mạng ẩn nấp và hoạt động.

Ransomware là gì, và nó hoạt động như thế nào?

Ransomware là một loại phần mềm độc hại (malware) sử dụng phương thức mã hóa để chiếm giữ thông tin của nạn nhân rồi đòi tiền chuộc. Các dữ liệu quan trọng của người dùng cá nhân hoặc tổ chức bị mã hóa để họ không thể truy cập các file, cơ sở dữ liệu hoặc ứng dụng trên thiết bị của mình. Sau đó hacker sẽ đòi tiền chuộc để mở khóa dữ liệu.

Ransomware thường được thiết kế để lây lan trên mạng, nhắm đến các cơ sở dữ liệu và máy chủ chứa file, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Đây là mối đe dọa ngày càng tăng cao, mang về hàng tỷ USD tiền chuộc cho tội phạm mạng và gây ra thiệt hại đáng kể cho các doanh nghiệp, tổ chức.

Ransomware sử dụng kiểu mã hóa không đối xứng. Đó là mật mã có một cặp khóa để mã hóa và giải mã file. Cặp khóa được hacker tạo riêng cho từng nạn nhân, trong đó có một khóa riêng tư dùng để giải mã các file lưu trữ trên máy chủ của hacker.

Kẻ tấn công chỉ cung cấp khóa này cho nạn nhân sau khi nhận được tiền chuộc, mặc dù như đã thấy trong các vụ ransomware gần đây thì thực tế không phải lúc nào cũng như vậy. Nếu không có khóa riêng tư thì gần như không thể giải mã các file đang bị giữ.

Hiện nay có nhiều biến thể khác nhau của ransomware. Thường thì ransomware và các phần mềm độc hại khác được phát tán thông qua các chiến dịch spam email hoặc các cuộc tấn công có chủ đích. Chúng cần một vectơ tấn công để thâm nhập vào mục tiêu. Sau khi thâm nhập, phần mềm độc hại sẽ “cư trú” trên hệ thống cho đến khi hoàn thành nhiệm vụ của nó.

Ransomware sẽ thực thi một mã nhị phân trên hệ thống bị nhiễm để tìm kiếm và mã hóa các file có giá trị, chẳng hạn như tài liệu Microsoft Word, hình ảnh, cơ sở dữ liệu,… Chúng cũng có thể khai thác các lỗ hổng của hệ thống và mạng để lây lan sang các máy tính khác và cuối cùng có thể là toàn bộ tổ chức.

Sau khi các file bị mã hóa, ransomware sẽ yêu cầu người dùng trả tiền chuộc trong vòng 24 đến 48 giờ để giải mã, nếu không các file này sẽ bị mất vĩnh viễn. Nếu không có bản sao lưu dữ liệu hoặc bản sao lưu đó cũng bị mã hóa thì nạn nhân sẽ buộc phải trả tiền chuộc để khôi phục dữ liệu của mình hoặc chịu mất hết.

Những kẻ đứng sau ransomware cũng sử dụng một số thủ đoạn khác, chẳng hạn như trước khi kích hoạt mã hóa chúng sẽ bí mật sao chép các file nhạy cảm và đe dọa đăng công khai các file này nếu không nhận được tiền chuộc. Điều này có thể gây nguy hiểm ngay cả đối với các công ty đã cẩn thận sao lưu dữ liệu của mình như một hàng rào chống lại ransomware. Từ chối trả tiền cho hacker có thể khiến họ bị thiệt hại lớn hơn nhiều so với bản thân khoản tiền chuộc.

Ransomware-as-a-service (RaaS) là gì?

Ransomware-as-a-service là một mô hình kinh tế của tội phạm mạng cho phép các nhà phát triển phần mềm độc hại kiếm tiền từ sản phẩm của mình mà không cần phải tự tay phát tán chúng.

Những tên tội phạm sẽ mua sản phẩm của họ và lây nhiễm cho mục tiêu, sau đó trả cho tác giả một phần số tiền chuộc nhận được. Các tác giả của ransomware gặp tương đối ít rủi ro vì “khách hàng” của họ đã thực hiện hầu hết mọi việc rồi.

Ngày nay lĩnh vực này đang trở nên chuyên môn hóa cao độ. Một bên liên kết sẽ tìm kiếm và lây nhiễm cho các mục tiêu bằng cách sử dụng ransomware thường được “thuê” từ một nhà cung cấp dịch vụ. Nhà cung cấp sau đó sẽ hưởng một phần khoản tiền chuộc thu được từ nạn nhân, còn bên liên kết thường lấy khoảng ba phần tư.

Các bên liên quan khác cũng có thể nhận được một phần “chiến lợi phẩm”, bao gồm tác giả của phần mềm độc hại được sử dụng và những người điều hành cái gọi là “tên miền chống đạn” mà các băng đảng ransomware dùng để ẩn giấu máy chủ của mình. Các máy chủ đó quản lý việc gieo rắc phần mềm độc hại từ xa và trích xuất dữ liệu trước khi kích hoạt mã độc, một quá trình lén lút có thể mất hàng tuần để thực hiện.

Cách đây khoảng 3 năm, ransomware chỉ là những vụ tấn công lẻ tẻ không đáng chú ý, nhưng đến nay loại tội phạm này đã phát triển thành các tổ hợp có độ tinh vi và kỹ năng cao. Chúng tận dụng các diễn đàn web đen để tổ chức hoạt động và tuyển dụng thành viên, đồng thời che giấu danh tính và hành động của mình bằng các công cụ và tiền điện tử tinh vi như Bitcoin, khiến cho hoạt động thanh toán (và cả rửa tiền) khó bị theo dõi hơn.

Vì sao ransomware ngày càng bành trướng trên không gian mạng?

Các cuộc tấn công của ransomware và các biến thể của chúng đang phát triển nhanh chóng để chống lại các công nghệ phòng thủ vì một số lý do như:

• Rất dễ sở hữu các bộ công cụ có thể được sử dụng để tạo ra các mẫu phần mềm độc hại mới theo yêu cầu
• Sử dụng các trình thông dịch chung (generic interpreter) để tạo ransomware đa nền tảng (ví dụ như Ransom32 sử dụng Node.js với dữ liệu JavaScript)
• Sử dụng các kỹ thuật mới, chẳng hạn như mã hóa toàn bộ ổ đĩa thay vì chỉ chọn một vài file đơn lẻ

Ngày nay những kẻ tấn công thậm chí không cần phải hiểu biết về công nghệ. Nhiều thị trường chợ đen mọc lên trên mạng cung cấp các dòng phần mềm độc hại cho bất kỳ kẻ tấn công nào có nhu cầu, và tạo ra thêm lợi nhuận cho tác giả của các phần mềm đó – những người thường yêu cầu được chia một phần số tiền chuộc.

Dữ liệu từ cơ quan an ninh mạng của EU Enisa được công bố vào tháng 10/2020 cho thấy các nạn nhân của ransomware đã trả hơn 10 tỷ euro tiền chuộc trong năm 2019 – tăng 3,3 tỷ euro so với năm trước đó.

Vào tháng 6/2021, công ty thịt JBS thừa nhận họ đã trả số tiền tương đương 9 triệu euro cho tin tặc sau khi một cuộc tấn công bằng ransomware làm tê liệt hoạt động sản xuất ở Úc và Mỹ.

Andre Nogueira, Giám đốc điều hành của JBS Mỹ cho biết: “Đây là một quyết định rất khó khăn đối với công ty và cá nhân tôi. Tuy nhiên chúng tôi cảm thấy quyết định này phải được thực hiện để ngăn chặn bất kỳ rủi ro tiềm ẩn nào cho khách hàng của mình”.

FBI không khuyến khích trả tiền chuộc, nhưng một lực lượng đặc nhiệm bao gồm các công ty công nghệ và các cơ quan chống tội phạm của Mỹ, Anh và Canada cho rằng sẽ là sai lầm nếu cố gắng cấm hoàn toàn việc thanh toán tiền chuộc.

Nguyên nhân là vì những kẻ tấn công ransomware luôn tìm thấy các lĩnh vực và thành phần trong xã hội dễ trở thành miếng mồi ngon cho chúng. Trả tiền có thể là cách duy nhất để một doanh nghiệp bị tấn công tránh được cảnh phá sản. Tệ hơn nữa, hacker thường nghiên cứu rất kỹ và biết được giới hạn phạm vi tiền bảo hiểm an ninh mạng của nạn nhân. Người ta đã thấy chúng đề cập đến điều này trong các cuộc đàm phán đòi tiền chuộc.

Mức độ hiểu biết về tội phạm như vậy đã làm tăng số tiền chuộc trung bình lên hơn 310.000 USD trong năm 2020, tức tăng 171% so với năm 2019 – theo số liệu của Palo Alto Networks, một thành viên trong lực lượng đặc nhiệm nói trên.

Tại sao rất khó để tìm ra thủ phạm của ransomware?

Việc sử dụng tiền điện tử ẩn danh để thanh toán – chẳng hạn như Bitcoin – gây khó khăn cho việc lần theo dấu vết tội phạm. Các nhóm hacker ngày càng nghĩ ra thêm nhiều kế hoạch tấn công bằng ransomware để kiếm lợi nhuận nhanh chóng.

Sự sẵn có của mã nguồn mở và các nền tảng dễ dùng kiểu drag-and-drop (kéo và thả) để phát triển ransomware đã đẩy nhanh việc tạo ra các biến thể mới và giúp những người mới tập viết code có thể tạo ra mã độc của riêng mình. Thông thường các phần mềm độc hại tiên tiến như ransomware có thiết kế đa hình, cho phép chúng dễ dàng vượt qua hàng rào bảo mật dựa trên chữ ký truyền thống.

Làm thế nào để tự bảo vệ mình khỏi ransomware?

Để tránh bị nhiễm loại mã độc này và giảm thiểu thiệt hại nếu chẳng may bị tấn công, bạn hãy làm theo các mẹo sau:

Sao lưu dữ liệu

Cách tốt nhất để tránh nguy cơ bị khóa các file quan trọng là hãy đảm bảo rằng bạn luôn có các bản sao lưu của chúng, tốt nhất là lưu trữ trên đám mây và trên ổ cứng ngoài.

Bằng cách này, nếu bị nhiễm ransomware thì bạn có thể xóa sạch máy tính hoặc thiết bị của mình và cài đặt lại các file từ bản sao lưu. Điều này giúp bảo vệ dữ liệu và bạn sẽ không cần trả tiền chuộc cho hacker. Các bản sao lưu không ngăn chặn được ransomware, nhưng chúng giúp giảm thiểu rủi ro nếu bị tấn công.

Bảo mật các bản sao lưu

Hãy đảm bảo rằng dữ liệu sao lưu của bạn không thể truy cập được để sửa đổi hoặc xóa khỏi hệ thống nơi lưu trữ nó. Ransomware sẽ tìm kiếm các bản sao lưu dữ liệu và mã hóa hoặc xóa chúng để bạn không thể khôi phục được, vì vậy hãy sử dụng các hệ thống sao lưu không cho phép truy cập trực tiếp vào file.

Trang bị các phần mềm bảo mật và cập nhật thường xuyên

Hãy đảm bảo tất cả các máy tính và thiết bị của bạn được bảo vệ bằng phần mềm bảo mật toàn diện và luôn cập nhật chúng thường xuyên, vì trong mỗi lần cập nhật luôn bao gồm các bản vá lỗi.

Lướt web an toàn

Hãy cẩn thận với mỗi cú nhấp chuột của mình. Không trả lời email và tin nhắn từ những người mà bạn không biết, và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì các tác giả phần mềm độc hại thường sử dụng cách tấn công phi kỹ thuật để khiến bạn cài đặt các mã độc nguy hiểm vào máy.

Chỉ sử dụng các mạng an toàn

Tránh sử dụng mạng Wi-Fi công cộng, vì nhiều mạng trong số chúng không đảm bảo an toàn và hacker có thể tấn công khi bạn sử dụng Internet. Thay vào đó hãy cài đặt VPN (mạng riêng ảo) để cung cấp kết nối Internet an toàn dù bạn ở bất cứ nơi đâu.

Tìm hiểu thông tin thường xuyên

Hãy cập nhật thông tin về các mối đe dọa ransomware mới nhất để biết cần chú ý những gì. Trong trường hợp bạn bị nhiễm ransomware và chưa sao lưu tất cả các file của mình thì hãy tìm hiểu một số công cụ giải mã được các công ty công nghệ cung cấp để giúp đỡ các nạn nhân.

8 bước để đối phó với cuộc tấn công ransomware

Nếu bạn nghi ngờ mình đã bị tấn công bằng ransomware thì điều quan trọng là phải hành động thật nhanh chóng. Dưới đây là một số bước mà bạn có thể thực hiện để giảm thiểu thiệt hại và trở lại công việc bình thường sớm nhất.

1. Cô lập thiết bị bị nhiễm

Nếu ransomware chỉ ảnh hưởng đến một thiết bị thì thiệt hại sẽ không quá nghiêm trọng, nhưng khi nó lây nhiễm vào tất cả các thiết bị của hệ thống thì sẽ là thảm họa khủng khiếp và có thể khiến cả tổ chức bị tê liệt. Sự khác biệt giữa hai trường hợp này thường phụ thuộc vào thời gian phản ứng.

Để đảm bảo an toàn cho mạng lưới, các ổ đĩa chung và các thiết bị khác, điều bạn cần làm là ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng nội bộ, Internet và các thiết bị khác càng nhanh càng tốt. Làm điều này càng sớm thì khả năng các thiết bị khác bị nhiễm càng ít.

2. Ngăn chặn sự lây lan

Vì ransomware di chuyển rất nhanh chóng và thiết bị mà bạn phát hiện đầu tiên chưa chắc đã là nguồn lây F0 nên việc cô lập ngay thiết bị này cũng không đảm bảo rằng ransomware không tồn tại ở nơi khác trên mạng lưới.

Để hạn chế phạm vi của nó một cách hiệu quả, bạn cần ngắt kết nối tất cả các thiết bị “có nguy cơ”, bao gồm cả những thiết bị hoạt động ngoài cơ sở, vì chỉ cần được kết nối với hệ thống thì chúng sẽ có thể gặp rủi ro dù ở bất kỳ nơi đâu. Tắt các kết nối không dây như Wi-Fi và Bluetooth tại thời điểm này cũng là điều nên làm.

3. Đánh giá thiệt hại

Để xác định thiết bị nào đã bị nhiễm, hãy kiểm tra các file được mã hóa gần đây có tên mở rộng (extension) bất thường và tìm kiếm các báo cáo về tên file lạ hoặc người dùng gặp sự cố khi mở file. Nếu bạn phát hiện ra bất kỳ thiết bị nào chưa được mã hóa hoàn toàn thì nên cách ly và tắt chúng đi để ngăn chặn cuộc tấn công và giảm nguy cơ mất thêm dữ liệu.

Mục tiêu của bạn là tạo một danh sách đầy đủ về tất cả các hệ thống bị ảnh hưởng, bao gồm thiết bị lưu trữ mạng, lưu trữ đám mây, ổ cứng ngoài (bao gồm cả ổ USB), máy tính xách tay, điện thoại thông minh và bất kỳ vectơ nào có thể là phương tiện để mã độc thâm nhập.

Tại thời điểm này, điều quan trọng là hãy khóa hết hoặc hạn chế hết mức sự chia sẻ tài nguyên để tạm dừng quy trình mã hóa đang diễn ra và giữ cho mã độc không lây lan thêm trong lúc khắc phục sự cố.

Nhưng trước khi làm điều này, bạn có thể kiểm tra các lượt chia sẻ bị mã hóa để tìm một vài thông tin hữu ích: nếu một thiết bị nào đó có số lượng file đang mở cao hơn nhiều so với bình thường thì rất có thể đó chính là nguồn lây F0.

4. Xác định nguồn lây F0

Việc theo dõi lây nhiễm sẽ trở nên dễ dàng hơn nhiều nếu bạn xác định được nguồn gốc. Để làm như vậy, hãy kiểm tra mọi cảnh báo từ các chương trình chống virus, EDR (công cụ phát hiện và phản ứng với sự cố ở điểm cuối) hoặc bất kỳ nền tảng giám sát nào của bạn.

Vì hầu hết ransomware xâm nhập vào mạng thông qua các liên kết và file đính kèm trong email đòi hỏi người dùng phải thực hiện một hành động nào đó, nên hãy hỏi các thành viên trong mạng của bạn về hoạt động gần đây (chẳng hạn như mở email đáng ngờ).

Cuối cùng, việc xem xét thuộc tính của từng file cũng có thể cung cấp thông tin quan trọng, chẳng hạn như người được liệt kê là chủ sở hữu của nó có thể chính là đầu mối. Tuy nhiên hãy luôn nhớ rằng có thể có nhiều hơn một nguồn lây F0.

5. Xác định ransomware

Trước khi tiếp tục, điều quan trọng là phải biết được biến thể ransomware mà bạn đang gặp phải là gì. Một cách để tìm hiểu điều này là truy cập trang web của No More Ransom, một sáng kiến toàn cầu với bộ công cụ giúp bạn giải phóng dữ liệu của mình, trong đó có công cụ Crypto Sheriff: chỉ cần tải lên một trong các file của bạn bị mã hóa và nó sẽ quét để tìm kết quả phù hợp.

Bạn cũng có thể sử dụng thông tin trong ghi chú đòi tiền chuộc: nếu nó không nói rõ loại biến thể ransomware thì bạn có thể sử dụng các công cụ tìm kiếm để tra địa chỉ email hoặc chính ghi chú đó. Khi đã xác định được ransomware và tìm hiểu về hành vi của nó, bạn nên thông báo cho tất cả các thành viên không bị ảnh hưởng trong mạng của mình càng sớm càng tốt để họ biết cách phát hiện các dấu hiệu lây nhiễm.

6. Báo cáo cho cơ quan chức năng

Ngay sau khi phát hiện ransomware, bạn nên liên hệ với cơ quan chức năng vì một số lý do sau.

Trước hết, tấn công bằng ransomware là hành vi vi phạm pháp luật, và giống như bất kỳ tội phạm nào khác, nó phải được báo cáo cho các cơ quan có thẩm quyền.

Thứ hai, các cơ quan thực thi pháp luật có thể sử dụng quyền hành và các công cụ để truy tìm thủ phạm mà hầu hết các tổ chức thông thường không thể có được. Chính quyền có thể tận dụng mối quan hệ với các lực lượng luật pháp quốc tế để giúp tìm ra dữ liệu bị mất và đưa thủ phạm ra trước công lý.

Cuối cùng, theo các điều khoản của Quy định chung về Bảo mật Dữ liệu (GDPR), nếu không thông báo cho Văn phòng Ủy viên Thông tin của Vương quốc Anh (ICO) trong vòng 72 giờ sau khi xảy ra vụ tấn công liên quan đến dữ liệu của công dân thuộc Liên minh Châu Âu, thì doanh nghiệp đó có thể bị phạt rất nặng.

7. Đánh giá các bản sao lưu

Giờ là lúc bắt đầu quá trình khôi phục. Cách nhanh nhất và dễ nhất là khôi phục lại hệ thống của bạn từ bản sao lưu.

Hãy dùng một bản sao lưu hoàn chỉnh gần đây nhất và không bị nhiễm mã độc, tiếp đó là sử dụng các giải pháp chống virus để đảm bảo tất cả các hệ thống và thiết bị bị nhiễm đều được xóa sạch ransomware, nếu không thì nó sẽ tiếp tục khóa hệ thống và mã hóa các file của bạn, làm hỏng luôn cả bản sao lưu.

Sau khi tất cả mọi dấu vết của phần mềm độc hại đã được loại bỏ, bạn có thể khôi phục hệ thống của mình từ bản sao lưu này. Sau khi xác nhận rằng tất cả dữ liệu đã được khôi phục và tất cả các ứng dụng hay quy trình đều đã chạy bình thường, bạn có thể làm việc trở lại như trước.

Thật không may là nhiều tổ chức không nhận ra tầm quan trọng của việc tạo và giữ các bản sao lưu, đến khi cần thì lại chẳng có. Vì ransomware hiện nay ngày càng tinh vi và “sống dai” nên một số người tuy đã có bản sao lưu nhưng vẫn bị ransomware phá hỏng hoặc mã hóa, khiến chúng trở nên hoàn toàn vô dụng.

8. Tìm hiểu những cách khác nhau để giải mã

Nếu bạn không có bản sao lưu thì vẫn có cơ hội để lấy lại dữ liệu của mình. Bạn có thể tìm thấy ngày càng nhiều khóa giải mã miễn phí tại No More Ransom.

Nếu tìm được một khóa phù hợp với loại ransomware đang bị nhiễm thì bạn có thể sử dụng nó để mở khóa dữ liệu, với điều kiện đã xóa tất cả dấu vết của phần mềm độc hại khỏi hệ thống. Tuy nhiên ngay cả khi bạn may mắn tìm thấy khóa giải mã thì vẫn có thể mất nhiều giờ hoặc nhiều ngày để khắc phục sự cố.

Thật không may, nếu bạn không có bản sao lưu nào dùng được và không thể tìm thấy khóa giải mã thì lựa chọn duy nhất là chịu mất hết và làm lại từ đầu. Việc này sẽ không nhanh chóng và rất tốn kém, nhưng một khi đã hết sự lựa chọn thì đó là điều tốt nhất mà bạn có thể làm.

Tại sao không trả tiền chuộc luôn cho xong?

Khi nghĩ đến cảnh phải mất vài tuần hoặc vài tháng để khôi phục lại hệ thống, bạn có thể sẽ chọn cách trả tiền chuộc cho dễ. Nhưng có một số lý do mà bạn không nên làm điều này.

Chưa chắc bạn sẽ nhận được khóa giải mã

Khi thực hiện giao dịch với ransomware, kết quả cuối cùng sẽ phụ thuộc vào “lương tâm” của bọn tội phạm. Nhiều cá nhân và tổ chức đã trả tiền chuộc nhưng không nhận lại được gì, mất hàng đống tiền mà sau đó vẫn phải xây dựng lại hệ thống từ đầu.

Bạn có thể bị đòi tiền chuộc thêm nhiều lần nữa

Sau khi bạn trả tiền chuộc, bọn tội phạm đứng sau ransomware sẽ biết bạn rất dễ khuất phục. Những lần sau chúng có thể sẽ đòi nhiều tiền hơn để đưa khóa giải mã.

Bạn có thể nhận được một khóa giải mã vô dụng

Những kẻ tạo ra mã độc tống tiền không làm trong lĩnh vực khôi phục file, mà chúng chỉ đang tìm cách kiếm tiền mà thôi. Nói cách khác, trình giải mã mà bạn nhận được có thể chỉ “vừa đủ xài” để bọn tội phạm nói rằng chúng đã thực hiện đúng thỏa thuận.

Hơn nữa, bản thân quá trình mã hóa có thể làm hỏng một số file đến mức không thể sửa chữa được. Nếu điều đó xảy ra thì ngay cả khóa giải mã tốt cũng không thể mở các file của bạn – chúng sẽ bị mất vĩnh viễn.

Bạn sẽ tự biến mình thành miếng mồi ngon

Sau khi bạn trả tiền chuộc, bọn tội phạm sẽ biết bạn là một miếng mồi ngon. Một tổ chức đã từng trả tiền chuộc sẽ trở thành mục tiêu hấp dẫn hơn so với các tổ chức mới chưa chắc đã chịu trả tiền.

Chính nhóm tội phạm đó có thể sẽ tấn công lại sau một hai năm, hoặc thông báo cho những tên khác biết rằng bạn là một mục tiêu “dễ xơi” như thế nào.

Trả tiền chuộc đồng nghĩa với tài trợ cho hoạt động tội phạm

Giả sử bạn trả tiền chuộc, nhận được khóa giải mã tốt và khôi phục lại mọi thứ – có thể gọi đó là tình huống “tốt nhất”. Nhưng khi trả tiền chuộc tức là bạn đã tài trợ cho các hoạt động tội phạm.

Chưa nói đến vấn đề đạo đức thì rõ ràng bạn cũng đang củng cố cho ý tưởng rằng ransomware là một mô hình kinh doanh có hiệu quả, vì nếu không ai trả tiền chuộc thì bạn có nghĩ rằng hacker sẽ tiếp tục phát tán mã độc không?

Được tiếp sức bởi số tiền chuộc béo bở, những tên tội phạm này sẽ tiếp tục tàn phá các doanh nghiệp “ngây thơ” và dùng số tiền đó để phát triển các dòng ransomware mới hơn, độc hơn. Biết đâu một trong số đó sẽ lẻn vào được thiết bị của bạn trong tương lai?

Trên đây là những vấn đề cơ bản về ransomware – mối đe dọa an ninh mạng đang ngày càng phổ biến và nguy hiểm. Ý kiến của bạn như thế nào? Hãy để lại bình luận ở dưới nhé!

Mời bạn xem thêm những bài viết liên quan của BlogAnChoi:

• 6 dịch vụ VPN giá rẻ tốt nhất: Tha hồ lướt web, an toàn bảo mật!
• Mẹo giúp bạn bảo mật thông tin trên những thiết bị công nghệ

Hãy đón xem BlogAnChoi mỗi ngày để nhận được nhiều thông tin thú vị cho cuộc sống bạn nhé!